SolidInvoice Clients Module kwetsbaar voor XSS (CVE-2025-9171)

Huurhacker augustus 20, 2025

Er is een beveiligingsprobleem ontdekt in SolidInvoice versies tot 2.4.0, met name binnen de Clients Module. Door manipulatie van het argument ‘Name’ met malafide data kan er cross-site scripting optreden, waardoor kwaadwillenden op afstand misbruik kunnen maken van uw systemen. Deze kwetsbaarheid, aangeduid als CVE-2025-9171, is publiekelijk bekendgemaakt en er zijn geen reacties ontvangen van de leverancier. Dit verhoogt het risico op misbruik aanzienlijk.

Overzicht

SolidInvoice, een veelgebruikte facturatiesoftware, bevat een lek in de Clients Module wat mogelijk leidt tot Cross Site Scripting (CWE-79) en Code Injection (CWE-94). Deze kwetsbaarheid bevindt zich in de onbekende functie van de /clients bestand in de Clients Module. Door het manipuleren van de parameter ‘Name’ kan een aanvaller XSS uitvoeren.

Aanbevelingen

Controleer en test of uw versie van SolidInvoice kwetsbaar is voor deze XSS-aanval.
Implementeer beschermende maatregelen, zoals het escaperen van gebruikersinvoer en het valideren van alle ingevoerde gegevens.
Overweeg over te stappen naar een nieuwere versie zodra patches beschikbaar worden gesteld.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-9171?

CVE-2025-9171 betreft een kwetsbaarheid in SolidInvoice waarbij Cross Site Scripting en mogelijk Code Injection kan plaatsvinden in de Clients Module.

Welke systemen zijn kwetsbaar voor CVE-2025-9171?

SolidInvoice versies 2.0 tot en met 2.4.0 zijn kwetsbaar voor deze aanval.

Bestaat er al een patch of beveiligingsupdate?

Op dit moment is er nog geen patch beschikbaar gesteld door de leverancier.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan op afstand via het netwerk XSS-scripts injecteren in de Clients Module van SolidInvoice, wat kan leiden tot ongeautoriseerde toegang en manipulatie van gegevens.